NORMATIVA PRIVACY

Conformità privacy delle PMI: governance dei rischi per una conformità sostanziale

Diversi sono i fattori che continuano a frenare il processo di adeguamento delle PMI alla normativa sulla protezione dei dati personali. Nello scenario attuale, una corretta analisi dei rischi e un sistema di gestione efficace sono fattori determinanti per la sostanziale conformità privacy dell’impresa

16 Apr 2020
P
Federico P. F. Pontani

Legal Tech Consultant


Nell’attuale scenario italiano, non sono poche le difficoltà e gli ostacoli al raggiungimento della conformità privacy delle PMI.

In Italia più del 95% delle imprese è costituito da PMI e microimprese[1]. Esse rappresentano il tessuto produttivo e vitale del Paese ma sono proprio queste le realtà a presentare maggiori difficoltà nell’adozione di misure sulla protezione dei dati personali.

Un sondaggio dell’Osservatorio Information Security & Privacy del Politecnico di Milano, contenuto nel Rapporto Clusit 2019 sulla sicurezza ICT in Italia, ha messo in evidenza i fattori di principale criticità riscontrati dalle imprese, segnatamente riconducibili a:

  • difficoltà nella raccolta e mappatura dei dati;
  • mancanza di sensibilizzazione sul tema da parte dei dipendenti aziendali;
  • scarsa sponsorizzazione da parte del top management;
  • difficoltà di comprensione della normativa;
  • mancanza di figure professionali competenti sul tema;
  • mancanza o inadeguatezza del budget stanziato;
  • inadeguatezza delle soluzioni tecnologiche di protezione prospettate e delle iniziative organizzative.

Sono dunque molteplici i fattori che ostacolano le PMI nel loro percorso di adeguamento.

Inoltre, forse a causa del clima di parziale indifferenza ereditato dalle precedenti normative sulla protezione dei dati (Legge 675/1996 e D.lgs. 196/2003), anche le misure – più stringenti – previste dal Regolamento europeo 2016/679 (GDPR) continuano ad essere accolte dalle imprese con disagio e attuate con eccessiva timidezza, nonostante l’iniziale fase di interesse e preoccupazione.

Quando si è compreso che le difficoltà hanno comune origine nella mancanza di cultura sulla protezione dei dati o in una coscienza collettiva non ancora matura, si sono moltiplicate iniziative informative e di sensibilizzazione, tra cui il progetto SMEData[2].

Tuttavia, molto lavoro deve essere ancora fatto per instillare la funzione di protezione sociale (degli individui ma di riflesso anche delle aziende) alla base dei principi sul corretto trattamento.

Nella prassi aziendale continuano a prevalere le scorciatoie degli adempimenti formali, meramente documentali[3], spesso non corrispondenti ai reali processi di trattamento, che mostrano una parvenza di conformità, fragile però davanti ad un audit o a teorici accertamenti ispettivi.

Alla parvenza, si accompagna sovente un atteggiamento di insofferenza, dove “la privacy” è inesorabilmente additata come l’ennesimo disturbo, foriero di obblighi traducibili solo in costi, piuttosto che in vantaggi.

L’avversione per l’adeguamento normativo non è solo per il costo che esso comporta, ma deriva anche dal fatto che, se l’adeguamento è sostanziale, la sua integrazione nei processi aziendali può comportare un effettivo cambiamento; cambiamento che, in alcuni casi, può arrivare fino alla modifica di alcuni aspetti del modo di lavorare, intaccando la “inviolabile routine quotidiana”.

A onor del vero, però, la trasformazione non è “portata dal GDPR” ma è piuttosto una naturale conseguenza dell’affermazione di un’economia digitale, e quindi di un nuovo contesto socioeconomico, che crea mutamenti a livello globale nei processi produttivi, nelle modalità di prestazione dei servizi e quindi nel “modo di lavorare”.

E così anche in altri settori le aziende – gradualmente – affrontano costi di riconversione (più onerosi) per adeguarsi a norme di conformità che stabiliscono sempre nuovi standard, ad esempio, a tutela dell’ambiente e della sicurezza del lavoro. Eppure, le istanze di protezione sociale che sottendono alla normativa sulla protezione dei dati non hanno dignità inferiore, soprattutto in considerazione dei beni che tutelano e dei rischi che sono volte a prevenire.

Pertanto, anche in questo settore, la norma “rincorre” la realtà dei fatti per regolarli, e i potenziali pericoli per prevenirli.

Peraltro, ciò che si vuole garantire attraverso la protezione dei dati nel mercato digitale – connotato dalla predominanza degli operatori capaci di sfruttare il valore economico dei dati – è che esista una contestuale tutela dei diritti fondamentali delle persone cui i dati si riferiscono.

In questa prospettiva, è più utile vedere la normativa come un’occasione per mantenersi competitivi e adeguati, non ad uno standard ma al nuovo contesto economico, come operatori capaci di sfruttarne i vantaggi e le risorse.

Analisi dei rischi quale fattore di consapevolezza

Come anticipato, un’incerta cultura aziendale in materia di protezione dei dati può costituire un fattore frenante allo sviluppo dell’impresa in un’economia digitale regolamentata.

Eppure, già essere in grado di rispondere alla domanda “Quali sono i miei rischi?”, pone le basi per una corretta compliance fondata sull’identificazione e prevenzione delle minacce (c.d. risk-based approach). Questa procedura, tra l’altro, è ciò a cui ci si riferisce in gergo con l’espressione “conoscere il proprio nemico”, ovvero un principio essenziale in materia di sicurezza.

DIGITAL EVENT 9 SETTEMBRE
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Legal
Sicurezza

Con riguardo alle modalità pratiche per redigere un’analisi dei rischi, si rimanda alle dettagliate linee guida di ENISA[4] (riprese anche dal nostro Garante[5]), nonché a precedenti contributi che affrontano esaustivamente il tema. In questa sede, si vogliono però sottolineare alcuni punti critici che, nella prassi, spesso sono tralasciati.

Si consideri preliminarmente che trattiamo continuamente dati personali, quasi senza accorgercene, al punto da poter provocatoriamente affermare che quasi tutto è trattamento di dati personali[6]. Tuttavia, la semplicità con cui i dati vengono utilizzati e scambiati stride con il fatto che questa attività è produttiva di rischi; e i rischi devono essere rilevati, controllati e se necessario mitigati.

Non bisogna dimenticare inoltre che il trattamento di dati personali è stato già in passato ricondotto nel novero delle attività pericolose ai sensi dell’art. 2050 del Codice civile. Tali si definiscono le attività che possono provocare danni con un alto grado di probabilità, ma che sono considerate lecite in virtù della loro utilità sociale.

Dunque, nel processo di adeguamento si fa riferimento ai rischi e potenziali danni, derivanti da violazioni di dati personali o dal trattamento in sé[7]. Gli effetti principali sono sintetizzati dalla lettera del Considerando 85 del GDPR, secondo cui:

Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata (enfasi aggiunta)[8].

Troppo spesso però si omette di calare questa norma nel contesto della singola impresa, ma procediamo con ordine.

Nell’ambito della protezione dei dati personali la sicurezza è funzionale alla tutela delle persone. Ciò significa che se il rischio per singolo trattamento è calcolato con l’equazione Probabilità per Impatto (R = P*I), l’impatto sono le conseguenze negative della lesione del bene giuridico tutelato, determinabili con i criteri civilistici di quantificazione del danno (materiale e immateriale).

Quali sono dunque i beni e i diritti tutelati? Si dovranno avere a mente non solo gli interessi economici, ma anche i diritti della personalità quali quello all’identità personale, onore, reputazione, riservatezza, immagine, libertà di autodeterminazione ecc., alla cui tutela il sistema di protezione dei dati – con le relative misure di sicurezza – è preordinato.

Pertanto, l’analisi oltre ad accertare la probabilità di perdita di riservatezza, integrità e disponibilità dei dati, dovrà stimare anche le ricadute sulle persone. In altre parole, sarà necessario compiere un passaggio ulteriore: la misurazione dell’incidenza, anche in termini economici, del trattamento su diritti e libertà dell’interessato.

Interessanti sono gli effetti sulle persone descritti nella tabella ENISA (ripresa dal nostro Garante) e suddivisi per grado di impatto (basso, medio, alto, molto alto), che fanno riferimento rispettivamente a:

  • disagi minori superabili (fastidi, nervosismo, perdita di tempo nel reinserimento di informazioni ecc.);
  • disagi significativi, superabili con alcune difficoltà (costi aggiuntivi, negazione dell’accesso a servizi aziendali, timori, incomprensioni, stress, disturbi fisici minori ecc.);
  • conseguenze significative, superabili con gravi difficoltà (sottrazione di liquidità, inserimento in elenchi negativi da parte di istituti finanziari, danni a beni materiali, perdita di un impiego, ordinanze o ingiunzioni giudiziarie, peggioramento dello stato di salute);
  • conseguenze significative o irreversibili, non superabili (perdita di capacità lavorativa, disturbi psicologici o fisici cronici, decesso ecc.).

Questi effetti devono comunque intendersi come conseguenza diretta di una violazione di dati o di un trattamento di dati personali lesivo di diritti o libertà dell’individuo (come sopra esemplificate).

Privacy standardizzata come ostacolo all’adeguamento sostanziale

Per quanto riguarda l’identificazione delle minacce che possono attentare ai diritti dei soggetti interessati con la relativa probabilità di materializzazione, si osserva la necessità di focalizzare le peculiarità di ogni realtà da adeguare.

Oltre ai processi aziendali “ricorrenti”, presenti in quasi la totalità delle imprese, dovranno essere oggetto di specifica analisi le particolarità che derivano dal settore di attività (la c.d. Industry di riferimento) e quelle specifiche proprie della singola realtà.

Questo nella prassi spesso non avviene ed è frequentemente constatato in sede di audit. Di conseguenza, non si riescono ad individuare i rischi specifici derivanti dalle modalità fattuali con cui viene implementato un dato trattamento e non si fanno sufficienti sforzi per identificare le minacce concrete.

Da ciò deriva la proliferazione di “privacy standardizzata low cost”, inadeguata in quanto insensibile alla particolare natura e contesto in cui opera una data impresa e, al contempo, inidonea a prevenire efficacemente danni alle persone, fallendo parimenti nel contestuale obbiettivo di evitare sanzioni in occasione di accertamenti ispettivi.

Anche la scelta delle misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (art. 32, par. 1 del GDPR) dovrebbe basarsi sulle fonti di rischio specifico per la singola realtà.

La standardizzazione però è alimentata anche dall’esiguità del budget allocato da molte imprese[9], vuoi per una reale indisponibilità di fondi o per una scelta imprenditoriale consapevole basata sulla prognosi di un trascurabile rischio-sanzione o, ancora, per coerenza con una tradizionale politica aziendale di disinteresse.

Inoltre, sebbene l’avviamento del processo di adeguamento comporti benefici in termini di miglioramento generale dell’assetto organizzativo, questi stessi benefici sono di difficile stima economica nel breve periodo. Non solo, alcune microimprese, per loro natura e dimensione, potrebbero addirittura considerarli ininfluenti.

Dunque, il principale vantaggio percepito rimane la capacità effettiva del processo di compliance di scongiurare il costo sanzione, anziché i vantaggi conseguibili in termini di maggiore competitività.

In attesa di maggiori strumenti di semplificazione e di agevolazione alle PMI, nonché della percezione di effettività delle sanzioni, il processo di adeguamento – e quindi la tutela anticipata dei diritti –, rischia di essere rimesso alle logiche di economicità dell’impresa.

Sistema di gestione della protezione dati quale strumento di governo del rischio

Il trattamento di dati personali, per sua natura, comporta la messa in pericolo di diritti e liberà delle persone fisiche.

Una volta definite le misure tecniche e organizzative per mitigare il rischio e per garantire un adeguato livello di sicurezza, è necessario assicurarne la continuità nel tempo con una procedura di controllo periodico[10].

Un sistema di gestione ricomprende l’insieme di politiche, ruoli, procedure, best practice, misure e controlli volti al raggiungimento di determinati obbiettivi (ad es., di qualità o di conformità normativa). Nel caso del sistema di gestione della protezione dei dati personali, l’obbiettivo è la protezione dei diritti e delle libertà delle persone fisiche, raggiungibile attraverso l’efficace tutela dei loro dati personali e quindi il governo dei flussi informativi in generale[11].

In altre parole, si parla innanzitutto di un sistema di prevenzione costituito da disposizioni di autoregolamentazione che ricomprendono misure di sicurezza, con controlli periodici sulle stesse, per ridurre o mitigare i rischi identificati ai diritti e libertà degli interessati.

Sotto questo profilo, le norme di soft law tra cui la ISO/IEC 27701:2019 (riguardante i sistemi di gestione delle informazioni a carattere personale, di integrazione alla ISO/IEC 27001 sulla sicurezza delle informazioni in generale)[12] rappresentano utili strumenti di orientamento. Tali documenti fissano elevati standard di sicurezza che, anche se esorbitanti per molte PMI, possono comunque costituire una valida fonte di ispirazione per best practice a tutela del complessivo patrimonio dei dati aziendali (personali e non personali).

Altro aspetto critico è rappresentato dalla gestione degli adempimenti documentali (registro dei trattamenti, analisi dei rischi, informative, gestione dei consensi, nomine, regolamenti, procedure ecc.), volti a dimostrare l’adempimento dell’obbligo di responsabilizzazione (art. 24 del GDPR).

A tal riguardo, attraverso un Modello Organizzativo Privacy (MOP) è possibile governare il processo di gestione della documentazione, predeterminandone gli aspetti principali come le procedure di adozione e revisione, l’individuazione dei documenti adottati, la frequenza di revisione periodica, l’individuazione delle figure interne responsabili eccetera.

Conclusioni

Nel contesto delle PMI e microimprese, che costituiscono la gran parte delle realtà italiane, si assiste ancora ad adempimenti meramente formali, nell’ambito di una parvenza di adeguamento normativo, privo dei caratteri necessari e idonei a prevenire danni alle persone fisiche.

Il ricorso alla “privacy formale e standardizzata” è causato non solo da un’incerta cultura aziendale in materia di protezione dei dati, ma anche dalla scarsa disponibilità di risorse per l’adeguamento, dall’incapacità di identificazione delle minacce reali e dall’assenza di periodici controlli interni.

In questo scenario sono essenziali misure semplificate ma efficaci, non meramente documentali e burocratizzanti ma snelle e concretamente idonee a prevenire i rischi di lesione dei diritti e libertà degli interessati; una corretta analisi dei rischi ed un sistema di controllo periodico rappresentano strumenti irrinunciabili in tal senso.

In definitiva, oltre ad accertamenti più capillari e sistematici per garantire l’effettività del sistema, si auspica l’introduzione di ulteriori strumenti, non solo di informazione, ma soprattutto di semplificazione allo scopo di agevolare il percorso di compliance delle microimprese e PMI.

NOTE

  1. Rapporto ISTAT 2018.
  2. In realtà più a carattere informativo che formativo per il momento, il progetto “SMEData” ha previsto, a partire da settembre 2019, la realizzazione di una serie di eventi nelle città di Firenze, Salerno, Milano, Cosenza, Genova, Roma. Il progetto mira a garantire l’effettiva applicazione del Regolamento Generale sulla Protezione dei Dati Personali attraverso la sensibilizzazione, la moltiplicazione di eventi formativi e lo sviluppo sostenibile delle capacità per le PMI e le professioni legali.
  3. Più approfonditamente sul punto, v. M. Suffada, Data protection: consigli per un reale e sostanziale adeguamento al GDPR, in Cybersecurity360.it.
  4. Si fa riferimento alle Guidelines for SMEs on the security of personal data processing ed al successivo Handbook on Security of Personal Data Processing.
  5. Manuale RPD, pp. 204 e ss..
  6. Basti pensare alla definizione stessa di trattamento e di dato personale, di cui all’art. 4, nn. 1 e 2 del GDPR, che ne mette in luce il carattere quasi onnicomprensivo.
  7. Per completezza, si segnala che rischi per i diritti e le libertà delle persone fisiche non derivano unicamente dalle violazioni dei dati ma anche da quei trattamenti che comportano, per loro natura, un rischio elevato e, in particolare, da quelli che richiedono una DPIA ai sensi dell’art. 35, par. 3 del GDPR.
  8. Nei medesimi termini anche le Linee guida del WP29 sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679.
  9. Più approfonditamente sul punto, v. G. Vaciago, GDPR, Quanto costa a una pmi adeguarsi (e come ottimizzare la spesa), in AgendaDigitale.eu.
  10. Come richiesto dall’art. 32, par. 1, lett. d) del GDPR, secondo cui tra le misure adeguate rientrerebbe una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
  11. Sul tema v. più approfonditamente l’UNI EN ISO 9000:2015 e l’ISO/IEC 27701:2019.
  12. ISO/IEC 27701:2019 Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines.
WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

@RIPRODUZIONE RISERVATA

Articolo 1 di 5